Ads 468x60px

keskiviikko 17. syyskuuta 2014

EU:n tietosuoja-asetus tulee - miten organisaation kannattaa valmistautua


Yleisen tietosuoja-asetuksen läpimeno ja voimaanastuminen ovat viivästyneet jo tuskallisen pitkään, ja vieläkään ei täyttä varmuutta asetuksen sitovuuden alkamisajankohdasta ole. Siksi aina rajallisilla resursseilla toimivat suomalaiset yritykset tuntuvatkin juuri nyt olevan odottavalla kannalla. Jotta vältytään turhalta työltä, kehitystoimet on toki viisasta käynnistää vasta sitten, kun asetus on saanut lopullisen muotonsa. On kuitenkin toimenpiteitä, jotka voidaan suorittaa jo nyt, jotta itse kehitystoimet voidaan aloittaa täydellä höyryllä sitten, kun asetuksen lopulliset vaatimukset ovat tiedossa - kuten tiedämme, kaksi vuotta on yrityselämässä lyhyt aika!

Tämä kirjoitus on ensimmäinen osa sarjasta, jonka otsikko voisi olla vaikka "Tietosuoja-asetus - vaatimustenmukaisuuden saavuttamisen lyhyt oppimäärä". Tarkoitukseni on näissä kirjelmissä käydä ylätasolla läpi sitä prosessia, joka useimmilla suomalaisilla rekisterinpitäjillä on edessään, jotta tulevat tietosuojavaatimukset pystytään taklaamaan. Organisaatioiden kypsyys vaihtelee, eikä kuvatut vaiheet ole universaalisti sovellettavissa kaikissa tilanteissa - pyrin kuitenkin antamaan osviittaa niihin asioihin, joihin kannattaa kiinnittää huomiota. Samalla totean disclaimerinä, että kuvaus on karkealla tasolla eikä kuvaa kaikkia tarvittavia toimenpiteitä tai huomioitavia seikkoja (edit 18.9.2014).

Prosessi voidaan jakaa esimerkiksi seuraaviin vaiheisiin:

1        Nykytilan selvitys
2        Gap-analyysi ja riskianalyysi
3        Toimenpiteiden priorisointi ja kehityssuunnitelman laatiminen
4        Kehityssuunnitelman jalkauttaminen
5        Hallintamallin operointi ja mittaaminen
6        Sisäisten ja ulkoisten arviointien teettäminen
7        Kehityssyklin toistaminen

Ennen aloittamista on syytä huolehtia siitä, että hankkeella on toimivan johdon siunaus ja sponsorointi. Mitä isompi projekti, sen tärkeämpää on, että taustatuki ja rahoitus ovat kunnossa. Raportoinnilla ja riskien näkyvällä hallinnalla on avainrooli johdon huomion herättämisessä ja ylläpitämisessä.


1        Nykytilan selvitys

Organisaation tietosuojatoimintojen kypsyys voidaan määritellä monen eri työkalun avulla. Monen suomalaisen rekisterinpitäjän tietosuojatyö on tähän asti perustunut henkilötietolain minimivaatimusten täyttämiseen, jolloin on selvää, että kypsyystaso ei ole riittävä tulevien vaatimusten täyttämiseksi.

Kehitystyö on suositeltavaa aloittaa selvityksellä tietosuojatoimintojen tilasta ja kypsyydestä nykyisellään. Työ kannattaa aloittaa jo nyt ja se tulee suorittaa mahdollisimman avoimesti ja objektiivisesti, jotta saadaan realistinen ja totuudenmukainen kuva puutteista ja tulevan kehitystyön kokoluokasta. Harkittava on myös, tulisiko selvityksen tekoon hankkia ulkopuolista, riippumatonta ammattiosaamista, mikäli tietosuojaosaaminen on harvojen käsissä tai on perusteltua epäillä selvityksen objektiivisuutta.

Nykytila-analyysissä selvitettäviä asioita ovat mm.:

·        Henkilötietojen rooli yrityksen liiketoiminnassa ja strategiassa
·        Henkilötietojen käsittelyn muodot, tavoitteet ja näiden suhde liiketoiminnan tavoitteisiin (edit 18.9.2014)
·        Tietosuojatyön johtaminen ja vastuutus
·        Tietosuojan hallintamallin kattavuus
·        Suunnitelmallisuus, politiikan ja ohjeistusten riittävyys
·        Henkilörekisterien, järjestelmien ja tietovirtojen kuvaaminen
·        Henkilötietojen käsittelyn periaatteet ja käytännöt
·        Tiedon elinkaaren hallinta
·        Tietosuojan ja tietoturvan kontrolliympäristö
·        Riskienhallinta
·        Henkilöstön koulutus
·        Henkilötietojen käsittelyn seuranta ja valvonta
·        Rekisteröityjen oikeuksien toteuttaminen
·        Kumppanuuksien hallinta
·        Siirrot EU:n ulkopuolelle (huom! erityisesti pilvipalvelut!)
·        Suoritetut arvioinnit ja toiminnan kehittäminen


2        Gap-analyysi ja riskianalyysi

Kun tietosuojatoimintojen nykytila on selvitetty, rinnalle otetaan tulevat tietosuojavaatimukset. Nykytilan ja tavoitetilan välinen ero on nk. gap, joka kertoo, miltä osin nykyisellään ei täytetä vaatimuksia ja miten isoja eroavaisuudet ovat. Puutteista aiheutuu aina riskejä; nämä tulee kirjoittaa auki sekä luokitella sen perusteella, kuinka todennäköisiä ja vaikutukseltaan vakavia ne ovat.

Riskiluokittelua voidaan käyttää myös priorisoinnin välineenä kehityssuunnitelmaa laadittaessa. Riskienhallinnan apuna voidaan käyttää esim. GRC-järjestelmiä, ja riskien arvostamiseen tulee vaikuttaa ainakin käsiteltävien henkilötietojen luonne, liiketoimintaympäristö, liiketoiminnan tavoitteet sekä organisaation riskinottohalukkuus.

Seuraavassa osiossa keskityn kehityssuunnitelman laatimiseen ja jalkauttamiseen, joten pysykää kuulolla!

--> Toinen osa tässä!

Ei kommentteja:

Lähetä kommentti